[Frage] Fritzbox hinter Router - Portweiterleitung ins LAN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
maceis

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
687
Punkte für Reaktionen
4
Punkte
18
Hallo zusammen,

ich habe eine Fritzbox 6590 und muss die hinter eine anderen Router (=Border-GW) betreiben.
Grundsätzlich funktioniert das soweit, bis auf die Portweiterleitungen.
Zwischen dem Border-GW und der Fritzbox habe ich ein separates Netz mit nur den beiden Geräten (DMZ-Netz): 192.168.2.0

Ich brauche Portweiterleitungen aus dem WAN über die Fritzbox ins LAN (beispielsweise von tcp 2202 aus dem Internet auf tcp 22 einer IP Adresse im LAN
Die Portweiterleitungen auf dem Border-GW habe ich auf die DMZ-IP der Fritzbox eingerichtet.
Das LAN Netz ist 192.168.1.0
Die LAN IP der Fritzbox ist 192.168.1.1 - SNM: 255.255.255.0
Die LAN IP des Zielrechners ist 192.168.1.2 - SNM: 255.255.255.0

Auf der Fritzbox habe ich die Portweiterleitung so eingerichtet, als wäre die Fritzbox direkt mit dem Internet verbunden.
In der ar7.cfg steht an der üblichen Stelle: ipv4forwardrules = "tcp 0.0.0.0:2202 192.168.1.2:22 0 mark 1 # ssh intern";

In der Weboberfläche AVM wird mir die Portfreigabe angezeigt, ich kann sie aber nicht aktivieren.
Ich erhalte die Fehlermeldung:
Es ist ein Fehler aufgetreten.
Fehlerbeschreibung: Die Portfreigabe kann nicht erstellt oder aktiviert werden, da das Ziel nicht im Heimnetz liegt.
Das Ziel liegt aber im Heimnetz

Wo liegt mein Fehler bzw. was muss ich machen, damit die Portweiterleitung funktioniert?

Danke und Viele Grüße
maceis
 
Zuletzt bearbeitet:
Warum trägst du die Portfreigabe in der ar7.cfg ein und nicht in der Weboberfläche? Ich bin mir nicht sicher, ob der Eintrag so korrekt ist.

Und warum richtest du im Border Router noch Portfreigaben auf die Fritzbox ein, wenn sie in der DMZ steht?
 
  • Like
Reaktionen: KunterBunter
Hallo zusammen,

Danke für Eure Beiträge. Die Raute am Anfang wahr ein Versehen und ist nicht wirklich da..
Irgendwie habe ich das heute Vormittag wohl falsch ins Forum kopiert (war im Zeitdruck und wurde gestört). Ich muss morgen nochmal schauen. Sorry.

frank_m24 schrieb:
Warum trägst du die Portfreigabe in der ar7.cfg ein und nicht in der Weboberfläche?
Und warum richtest du im Border Router noch Portfreigaben auf die Fritzbox ein, wenn sie in der DMZ steht?
Zum Vergrößern anklicken....

Ich hatte die Freigabe schon vor langem angelegt, als die Box noch direkt mit dem Internet verbunden war und da hat sie auch funktioniert.
Die Portfreigaben sind notwendig, um einzelne Hosts im internen LAN hinter der Fritzbox zu erreichen.
Ich hatte auch versucht, alle vorhandenen Portfreigaben zu löschen und in der AVM Weboberfläche einzurichten. Fehler siehe oben.

Die DMZ hat (zurzeit) nur die Funktion, das bestehende LAN mit dem neuen Border-GW zu verbinden und im Wesentlichen alles andere so zu lassen wie es war. Das ganze resultiert aus einer Vorgabe, dass ein anderer Router ans Internet muss, weil sich herausgestellt hatte, dass da die Datenraten etwas höher sind. Notwendige Funktionen der Fritzbox (Freetz mit OpenVPN, BIND etc.) lassen sich aber auf dem anderen Gateway nicht einrichten.

Viele Grüße
maceis
 
maceis schrieb:
Die Portfreigaben sind notwendig, um einzelne Hosts im internen LAN hinter der Fritzbox zu erreichen
Zum Vergrößern anklicken....
Aber wenn du eine DMZ eingerichtet hast, dann wird der gesamte eingehende Traffic vom ersten Router auf die Fritzbox geleitet. Dedizierte Portweiterleitungen sind dann nur in der Fritzbox erforderlich.

Oder behandelt der Border-Router eine DMZ anders, als man es von klassischen SoHo Routern kennt? Eine DMZ heißt ja üblicherweise, alles ankommende wird durchgeleitet. Die Fritzbox wird damit zum Exposed Host.
 
@maceis : Das Problem der Aktivierung kann damit zusammenhängen, das der WAN Port der Fritzbox den gleichen IP Bereich wie das LAN hat.. (Fritzbox macht ein NAT). (Nicht vergessen, die Routing Tabelle zu überprüfen und durch statische Routings ggf. korrigieren auf der Fritzbox und dem Border-Router)

@frank_m24 : Die soho erlauben jeden Port ausgehend, aber nicht jeden Port reingehend (zumindest, wenn man einen internen Rechner im LAN erreichen möchte). Sofern macht die Portweiterleitung auf der Fritzbox schon sinn.
 
Zuletzt bearbeitet:
dg2drf schrieb:
Das Problem der Aktivierung kann damit zusammenhängen, das der WAN Port der Fritzbox den gleichen IP Bereich wie das LAN hat.
Zum Vergrößern anklicken....
Nee, hats ja nicht. Das WAN Netz ist 192.168.2.0/24, das LAN 192.168.1.0/24.

dg2drf schrieb:
Die soho erlauben jeden Port ausgehend, aber nicht jeden Port reingehend
Zum Vergrößern anklicken....
Deswegen ja die DMZ. Damit wird eingehend alles zu einem ausgesuchten Host geschickt. In der Fritzbox muss man natürlich die entsprechenden Portweiterleitungen einrichten, aber wenn der Border-Router alles zur Fritzbox schickt, sind da keine dedizierten Weiterleitungen mehr nötig.
 
@frank_m24 : Ich kenne Border-Router auch nicht. Aber alle Router bzw. Firewalls die ich kenne lassen standard mässig nichts rein.(DMZ eingeschlossen). Was mich grade noch stutzig macht: "Die Portweiterleitungen auf dem Border-GW habe ich auf die DMZ-IP der Fritzbox eingerichtet." Woher will der Border-GW wissen, wohin er das Paket mit der IP der DMZ der Fritzbox routen soll ? Er kennt ja nicht das DMZ Netz. (oder hab ich jetzt da einen Gedankenfehler ?? ) Imho müsste das netz so aussehen : Internet ------- Border-GW ---------- WAN-Port Fritzbox ----------------DMZ Fritzbox
|---------------------- LAN Port Fritzbox.
 
dg2drf schrieb:
oder hab ich jetzt da einen Gedankenfehler
Zum Vergrößern anklicken....
Sieht so aus. Sieh in Beitrag #1:
maceis schrieb:
Zwischen dem Border-GW und der Fritzbox habe ich ein separates Netz mit nur den beiden Geräten (DMZ-Netz): 192.168.2.0
Zum Vergrößern anklicken....
Es ist das DMZ Netz des Border-Routers, einziger Host ist der WAN Port der Fritzbox. Deshalb landet dort alles, was von außen reinkommt. Die Box hat keine DMZ, deshalb müssen da dedizierte Portweiterleitungen für die Endgeräte eingerichtet werden.
 
@frank_m24 : Auch in der Fritzbox kann man eine DMZ einrichten.
 
Hallo zusammen,

Danke für Euer Interesse.
Ich glaube ich muss jetzt erstmal etwas ausführlicher erklären.

Eine DMZ ist nach meiner Kenntnis (so hab ich das mal gelernt), ein separates privates IP-Netz (in meinem Fall 192.168.2.0/24), das zwischen einem (oder mehreren) internen privaten Netz (in meinem Fall 192.168.1.0/24 und dem Internet eingerichtet wird. Es besteht aus einem Router, der direkt mit dem Internet verbunden ist (dem Border-GW) dem zwischengeschalteten Netz und einem Router (in meinem Fall die Fritzbox), der die Aufgabe hat zwischen den beiden privaten Netzen zu routen.

Der Sinn des ganzen ist, dass alle Hosts, die aus dem Internet erreichbar sein müssen nicht in dem internen privaten Netz stehen, sondern im DMZ Netz platziert werden. Alle Server und Hosts, die aus dem Internet nicht direkt erreichbar sein sollen, stehen im internen Netz. Dadurch ist ein direkter Zugriff aus dem Internet auf das zu schützende Netz nicht möglich, weil auf dem Bordergateway eingerichtete Portweiterletungen eigentlich ausschließlich in das DMZ Netzt zeigen sollten.

Insofern ist es natürlich völlig schwachsinnig, auf dem Internen Router eine Portweiterleitung in interne Netz einzurichten. Dass ich diese Konfiguration gewählt habe, hat Gründe, die hier nicht von Bedeutung sind und zu weit führen würden. Meine Entscheidung sähe anders aus.

Für das interne Netz ist die Fritzbox das Standardgateway. Sie routet jeden Netzwerkverkehr, der nicht im Netz 192.168.1.0 liegt.
Hosts die im DMZ-Netz (192.168.1.0) liegen, könn(t)en direkt adressiert werden, alles andere geht an den Broder-Router.


Das was Frank hier beschreibt ist nach meinem Verständnis nicht richtig. Die Verwirrung kommt vermutlich daher, dass die Fritzbox anscheinend eine DMZ-Funktion hat (dich ich gar nicht kenne). Ich habe das selber so konfiguriert.
frank_m24 schrieb:
[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Forumsregeln]
Zum Vergrößern anklicken....

Normerweise sind auf dem Border-GW Portweiterleitungen an die von außen erreichbaren Dienste konfiguriert, die eigentlich alle im DMZ-Netz stehe sollten. Alles andere wird an den internen Router (die Fritzbox) geschickt. Das sollten aber nur noch Antworten auf Internetverkehr sein, die im internen Netz gestartet wurden.

Der Sinn des ganzen ist doch, dass ins interne Netz nur noch Netzwerkverkehr kann, der von innen initiiert wurde. Auf dem internen Router kann eine sehr restriktiv konfigurierte Firewall eingesetzt werden, weil alle Hosts, die von außen erreichbar sein müssen und somit potentielle Angriffslücken brauchen, im DMZ Netz stehen.

####

Jetzt aber zurück zu meinem Problem.
Ich habe das Ganze noch einmal durchgespielt.

Im Bereich Heimnetz ist mein Zielhost vorhanden. Wenn ich aber eine Portweiterleitung einrichten will, sagt die Fritzbox, dass das Ziel nicht im Heimnetz liegt, was ganz offensichtlich falsch ist.

Ich habe jetzt probeweise auf einer anderen Fritzbox, die nicht mit Internetanschluss über LAN 1 eingerichtet ist, das Prozedere mehrmals durchgespielt. Bei genau gleicher Vorgehensweise kann die Portweiterleitung problemlos eingerichtet werden.

Unverständlich ist es für mich auch deswegen, weil ich die Ziel-IP Adresse gar nicht selbst eingeben muss, sondern den Host aus dem Dropdown-Menü auswählen kann.
D. h. die Fritzbox sieht, dass es sich um einen Host handelt, den sie selbst im Heimnetz gespeichert hat. Und als ob das nicht genug wäre: Wenn ich eine anderen Host im Menü auswähle (beispielsweise einen Drucker) kann ich die Portfreigabe sofort einrichten und sie funktioniert.

Ich bin echt ratlos.

Viele Grüße
maceis

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

Hallo,
[Edit Novize: Überflüssiges Fullquote des Beitrag direkt darüber gelöscht - siehe Forumsregeln]

Ich habe mein letzte Posting vor gut einer Stunde begonnen.
Wie gesagt, ich verwende nicht die DMZ Funktion von AVM, sondern habe die sozusagen "zu Fuß" eingerichtet.
trotzdem danke ich Dir für Deinen Beitrag.

Gruß
maceis
 
Zuletzt bearbeitet von einem Moderator:
Hallo,

ok, das erklärt einiges. Du interpretierst DMZ anders, als es viele SoHo Router machen. Dort heißt DMZ, dass es einen Host gibt, an den alles gesendet wird, was von außen reinkommt, auch ohne dedizierte Portfreigabe. In deinem Fall musst du dann natürlich Portfreigaben im Border Router einrichten, die auf die Fritzbox zeigen, auch für die Clients der Fritzbox.

maceis schrieb:
Wenn ich aber eine Portweiterleitung einrichten will, sagt die Fritzbox, dass das Ziel nicht im Heimnetz liegt, was ganz offensichtlich falsch ist.
Zum Vergrößern anklicken....
Das Problem rührt von dem manuell ar7.cfg Eintrag her. Vielleicht reicht es, ihn zu löschen, aber ich denke, du musst einen Reset auf Werkseinstellungen auslösen und das ganze sauber einrichten.
 
Hallo Frank,

das was Du als DMZ bei den SoHo Routern beschreibst, nenne ich exposed Host.

Der Eintrag in der ar7.cfg wurde (zusammen mit einigen anderen Portweiterleitungen) über die AVM Oberfläche erstellt, als die Box noch direkt am Internetanschluss hing. Das Löschen aller Portweiterleitungen habe ich schon versucht. Ich kann auch alle Portweiterleitungen wieder neu einrichten, nur nicht die für diesen Host.

Ich hatte auch den Host in der Übersicht "Heimnetz" gelöscht. Ebenfalls ohne Ergebnis.

Viele Grüße
maceis
 
maceis schrieb:
Eine DMZ ist nach meiner Kenntnis (so hab ich das mal gelernt), ein separates privates IP-Netz (in meinem Fall 192.168.2.0/24), das zwischen einem (oder mehreren) internen privaten Netz (in meinem Fall 192.168.1.0/24 und dem Internet eingerichtet wird.
Zum Vergrößern anklicken....
Damit liegst du richtig.

maceis schrieb:
Ich hatte auch den Host in der Übersicht "Heimnetz" gelöscht. Ebenfalls ohne Ergebnis.
Zum Vergrößern anklicken....
Dann Werksreset und alles neu einrichten.
 
Danke für Eure Hinweise.

Ich habe inzwischen ein wenig Netzwerkanalyse betrieben und Auffälligkeiten festgestellt, die mich zu der Annahme brachten, dass es sich um ein Routingproblem handeln könnte.
  1. Hosts aus dem Netzwerk 192.168.1.0 können sich untereinander, die Fritzbox als sowie fraglichen SSH-Server anpingen.
  2. Fritzbox und der betreffende SSH-Server können sich untereinander nicht anpingen.
Aus 1. folgt, dass sich alle Geräte im selben logischen und im selben physikalischen Netz befinden und Pings nicht geblockt werden.
2. ist daher nicht nachvollziehbar.

Ich hab also die Routingtabelle auf der Fritzbox angeschaut und festgestellt, dass tatsächlich eine Host-Route auf das dsl-Interface gelegt ist. Es ist dies der physikalische LAN Anschluss 1, über den die Fritzbox mit dem Border-GW verbunden ist.

Da ich diese Route nicht angelegt habe, war mir zunächst unklar, woher die kommt. Ich hab sie also gelöscht und siehe da, Fritzbox und SSH-Server können sich anpingen. Jetzt habe ich also die Portweiterleitung wieder neu angelegt und ---- selber Fehler. Routingtabelle angeschaut und die merkwürdige Route ist wieder da, wurde also von der Fritzbox beim Versuch die Portweiterleitung einzurichten, neu angelegt.

Den Werksreset möchte ich noch vermeiden oder zumindest aufschieben.
Ich probiere noch einige Dinge aus, aber vielleicht hat von Euch auch noch jemand eine Idee.

Gruß
maceis
 
maceis schrieb:
Fritzbox und der betreffende SSH-Server können sich untereinander nicht anpingen.
Zum Vergrößern anklicken....
Der SSH-Server hat welche IP?
Pingst du auf die IP oder auf den Namen?

Vielleicht hängt es mit dem "DNS-Rebind-Schutz" der FB zusammen.
 
Fritzbox: 192.168.1.1
SSH-Server: 192.168.1.2
Ich pinge auf die IP.
Code: 
route | grep '192.168.1\.'
192.168.1.0     *               255.255.255.0   U     0      0        0 lan
192.168.1.1     *               255.255.255.255 UH    2      0        0 dsl
192.168.1.2     *               255.255.255.255 UH    2      0        0 dsl

Das merkwürdige ist, dass die Route 192.168.1.2 auf dsl auch dann angelegt wird, wenn ich testweise eine Portweiterleitung auf einen anderen Host anlege. Ich verstehe auch die andere Hostroute nicht.
Am Interface dsl hängt doch nur das DMZ-Netz (192.168.2.0) mit dem Border-GW.
Meiner Ansicht nach müsste es genügen, wenn die default Route auf das dsl Interface zeigt.
Sehr rätselhaft.
 
maceis schrieb:
SSH-Server: 192.168.1.2
Zum Vergrößern anklicken....
Ach so. Auch im internen Netz.
Wozu hast du die DMZ überhaupt, wenn sich da kein weiteres Gerät befindet?

Hast du mal versucht VPN auf der FB einzurichten?

Du kannst auch mal dem SSH und der FB höhere IPs zuweisen (.11 und .12)
 
Das steht weiter oben.
Es gibt eine Vorgabe, dass die Fritzbox nicht mehr direkt am Internetanschluss betrieben werden soll - meine Idee war's nicht.

Auf der Fritzbox laufen seit langem unter anderem ein OpenVPN-Server mit Zertifikaten und ein BIND, deswegen soll die noch weiter betrieben werden.
Im internen LAN soll sich nichts ändern (Hosts sollen so konfiguriert bleiben, wie sie vorher waren.
Wie ich oben schon schrieb, macht das DMZ als solche eigentlich keinen Sinn. Es ist ein reines Transportnetz zwischen dem schon vorher bestehenden LAN und dem neuen Border-GW.

Der ganze Heckmeck ist nur deswegen notwendig, weil es Personen gibt, die viel zu sagen aber wenig Ahnung haben und die mit dem VPN nicht klarkommen, obwohl es eigentlich ganz einfach zu benutzen ist. Ich hab dazu grafische Oberflächen hergestellt, wo man nur auf "Verbinden" oder "Trennen" kicken muss.

Wie dem auch sei. Es wird darauf hinauslaufen, dass die Fritzbox weg muss. Dann gibt es halt kein lokales DNS mehr und OpenVPN entfällt für alle. Mich interessiert jetzt aber persönlich, warum das nicht so funktioniert, wie ich es mir gedacht hatte.

Viele Grüße
maceis
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 528 (Mitglieder: 37, Gäste: 491)

Neueste Beiträge

Statistik des Forums

Themen
244,859
Beiträge
2,219,670
Mitglieder
371,573
Neuestes Mitglied
mightyship22
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück